Bisogna impedire a qualsiasi soggetto privato di accedere agli atti

Bisogna
Intervento
impedire
di
a
Antonello
qualsiasi
Soro,
soggetto
Presidente
privato
del
Garante
di
accedere
per
la
agli
protezione
atti
dei
delle
Procure
dati
personali
("L'Huffington Post", 9 dicembre 2016)
Gli sviluppi del dibattito politico di queste settimane hanno lasciato in ombra un'importante inchiesta del Corriere della Sera in tema di
intercettazioni. Sotto i riflettori l'attività della società Area, nella sua veste di fornitore di servizi informatici per diverse Procure.
L'inchiesta ripropone il tema della sicurezza dei dati raccolti nell'attività investigativa. L'argomento è di grande interesse perché dalla
protezione dei dati dipendono l'efficacia delle indagini (e dunque la sicurezza pubblica), la tutela delle vittime, il diritto alla dignità dei terzi
coinvolti nelle conversazioni.
In questo caso la vicenda è molto particolare perché l'elemento di permeabilità del sistema non risiede nell'attività degli operatori telefonici,
più direttamente impegnati nelle attività di captazione e data retention, ma in quella della società fornitrice dei server di numerose Procure,
per una presunta acquisizione illecita di dati legittimamente intercettati, probabilmente durante un'operazione di teleassistenza.
I contorni della vicenda sono ancora da chiarire e la fase istruttoria tuttora in corso: ciò che comunque mi preme riaffermare è la necessità
ineludibile di impedire che qualunque operatore privato- ancorché incaricato di svolgere attività di assistenza, manutenzione, fornitura di
server o altra strumentazione tecnologica alle Procure- possa avere accesso e addirittura scaricare sul proprio pc i dati intercettati. Sarebbe
non solo illecito ma anche davvero pericoloso per le indagini e per le persone.
La legittima attività investigativa, nel coinvolgere soggetti privati, in varie fasi e a vario titolo, deve assicurare ogni possibile garanzia per
evitare che terzi non autorizzati possano avere accesso al materiale probatorio acquisito.
E ciò tanto più in ragione della esternalizzazione di diverse operazioni (si pensi alle ambientali da remoto, realizzate con captatori forniti e in
parte gestiti da privati) che rendono alquanto più permeabile, complessa e vulnerabile la filiera su cui si snoda questa attività, meritevole per
ciò di una tutela rafforzata. Solo l'adozione di adeguate misure di sicurezza, da parte di ciascun soggetto operativo in ogni fase dell'attività di
intercettazione, può contribuire a minimizzare i rischi.
Rischi inevitabilmente connessi alla frammentazione e parcellizzazione dei centri di responsabilità, derivanti dal coinvolgimento di un
numero decisamente elevato di soggetti nella "catena" delle attività investigative. Di questi problemi l'Autorità per la protezione dei dati si
occupa da tempo e sotto vari aspetti: in ordine tanto alle responsabilità e agli oneri gravanti in capo alle Procure, quanto agli specifici doveri
cui devono adempiere i privati nella molteplicità dei ruoli che essi possono svolgere (non solo i gestori telefonici ma anche, come nel caso di
Area, fornitori dei server).
Sono stati molto importanti i provvedimenti del Garante (2008) sull'amministratore di sistema e sulle misure di sicurezza cui sono tenuti
gestori e fornitori di servizi di comunicazione elettronica. Più recentemente, con un provvedimento del luglio 2013, abbiamo indicato alle
Procure alcune essenziali misure organizzative indispensabili per proteggere quei preziosissimi flussi informativi e responsabilizzare al
massimo tutti i soggetti coinvolti (non solo il p.m. ma anche la polizia giudiziaria), evitando fughe di notizie anche solo involontarie.
L'iniziale diffidenza (quando non anche ostilità per una presunta interferenza indebita) su tali misure sembra in gran parte superata, anche
grazie all'impulso dell'attuale Ministro della Giustizia, che sembra aver investito su questo progetto, nella consapevolezza della sua utilità sia
per la privacy dei cittadini interessati, sia per la migliore efficacia delle indagini. Pur con un ritardo non trascurabile, i vari uffici giudiziari vi
si stanno adeguando: è importante in particolare che le 26 Procure distrettuali stiano completando questo percorso.
Come pure è apprezzabile la scelta del Ministro di inviare alle Procure una circolare volta a promuovere l'innalzamento dei livelli di
sicurezza dei sistemi informativi e dei dati intercettati, anche attraverso la proposta di un contratto unico per la fornitura di servizi
informatici, con l'impegno del contraente al rispetto delle misure da noi prescritte. L'adozione di un unico standard contrattuale per la
fornitura di servizi esterni, nel rispetto rigoroso delle nostre prescrizioni, potrebbe contribuire a minimizzare di molto i rischi di accessi
abusivi e trattamenti illegittimi.
Per altro verso, sarebbe utile rimuovere l'attuale incredibile frammentazione dei fornitori cui ogni singola Procura si affida. Se ne discute da
anni: e non si capisce quali siano gli ostacoli. In ogni caso va sottolineato come, forse anche grazie ai nostri interventi, quello della
protezione dei dati nelle attività investigative sia diventato un tema cui oggi si presta attenzione più di ieri. Lo dimostrano le direttive adottate
da molte Procure sul deposito e la trascrizione delle intercettazioni, richiamate dal Csm nel provvedimento del 29 luglio tra le buone prassi
da seguire (oltre a quelle sulle misure di sicurezza), ed elevate sostanzialmente a norma di legge nel ddl sulla riforma del processo penale
all'esame del Senato, come emendato dai relatori.
Provvedimento, quest'ultimo, che tocca un altro tema emergente dall'inchiesta giornalistica: la fornitura agli organi inquirenti, da parte delle
società private, di sofisticate tecnologie informatiche capaci di realizzare una pluralità di operazioni investigative. Nel caso di Area, parrebbe
che la società abbia fornito al regime di Bashar Al Assad un sistema di intercettazione centralizzato per il controllo massivo dell'attività dei
dissidenti politici, in violazione delle norme (interne e internazionali) sul dual use, ovvero sulla duplicità di uso, civile e militare, cui sono
soggette tali tecnologie e che, se non adeguatamente regolamentate, sono capaci di "bucare" intere esistenze individuali e collettive, strategie
politiche, segreti di Stato.
Come dimostrato anche dal caso Hacking Team, è necessario che la produzione e commercializzazione di tali software sia adeguatamente
regolamentata (sull'an e sul quomodo), in quanto potenzialmente pericolosa al pari di vere e proprie armi di distruzione di massa.